GDPR trådde i kraft i Norge 1.juli 2018 – dette påvirker din virksomhet.

Alle virksomheter som behandler og oppbevarer personopplysninger må innrette seg etter ny personvernlovgivning.

Fra 1.juli 2018 erstattet ny personvernlov og EUs forordning for personvern (GDPR) den tidligere personvernopplysningsloven og lovverket skal fra denne dagen være implementert i norske virksomheter. De nye reglene gjelder alle virksomheter som behandler personopplysninger om ansatte, kunder, brukere eller andre. I praksis påvirker forordningen alle norske virksomheter, men de nye reglene påvirker virksomhetene i ulik grad. Personvernforordningen gir flere og strengere plikter med økonomiske konsekvenser i form av bøter ved overtredelser.

Enkelte har kanskje allerede på plass rutiner for å ivareta personvernet og må revidere og kontrollere disse i forhold til den nye forordningen. Andre må starte arbeidet helt fra bunnen av. Det kan oppleves tungt og tidkrevende å komme i gang med personvernarbeidet. Mørketallsundersøkelsen 2018 viser at 41% av virksomhetene i undersøkelsen ikke har gjort endringer i arbeidet med personvern og informasjonssikkerhet som følge av GDPR. Dersom din virksomhet ikke har startet arbeidet med GDPR så haster det å få dette på plass. Vi deler 8 råd om hvordan man kan gå i gang med arbeidet:

1. Ansvarsfordeling – hvem i virksomheten skal ta del i personvernarbeidet?

2. Kompetanseinnhenting – Sett dere inn i gjeldende regelverk og eventuell bransjenorm godkjent av Datatilsynet. Søk ekstern kompetanse ved behov.

3. Kartlegging – virksomheten må kartlegge alle personopplysninger som behandles, formålet og hvilket behandlingsgrunnlag som gjelder for de ulike behandlingene.

4. Risikovurdering og konsekvensanalyse – uønskede hendelser må identifiseres og sannsynligheten for og konsekvenser av hendelsen må kartlegges. Vurder dine systemer og løsninger.

5. Rutiner – virksomheten må utarbeide styrende dokumenter og interne rutiner for å ivareta personvernet i virksomheten og de rettighetene og pliktene som finnes ihht. forordningen. Dokumentasjon er viktig!

6. Databehandleravtaler – virksomheten må ha på plass databehandleravtale med alle som behandler data på vegne av virksomheten.

7. Personvernombud – avklare om din virksomhet trenger personvernombud.

8. Intern opplæring – Det er viktig at alle ansatte i virksomheten kjenner regelverket rundt personvern og virksomhetens rutiner knyttet til dette.

Ønsker du/dere bistand med personvernarbeidet har vi kunnskapen og verktøyene for å hjelpe deg i gang. Vi i Concepta Partner har utarbeidet en personvernhåndbok med tilhørende verktøy for å lette personvernarbeidet og bidrar gjerne til at virksomheten din får oversikt, samtidig som sluttresultatet kan være et praktisk verktøy i virksomhetens videre personvernarbeid.

Skrevet av Tale Vestby og Hanne Sundås 10.05.2019